Seite 2: Finale Sicherheitskonzepte fehlen

Inhaltsverzeichnis

Beim "Beladen" der Datenspeicher hätten zunächst zwei SAP-Mitarbeiter geholfen, erklärte Heß vor Gericht. Doch der Prozess sei ins Stocken geraten. Da so noch nicht alle technischen Randbedingungen feststünden, existierten auch die finalen Sicherheitskonzepte bislang nicht, die für die künftige Arbeit von Forschenden auf abgeschirmten Datensegmenten und die Online-Verbindung dazu nötig seien. Die abschließende Evaluation, ob das angedachte Verfahren zum deutlichen Absenken des Re-Identifizierungspotenzials von Versicherten und Leistungserbringern wie Ärzten "geeignet ist und im Alltag eingesetzt werden kann", sei ebenfalls noch nicht erfolgt. Richter Kanert stellte den Berliner Rechtsstreit daher Mitte Februar ruhend: Die Sache sei noch nicht entscheidungsreif.

Trotz der so weiter herrschenden Rechtsunsicherheit, die letztlich wohl erst durch den Einbezug des Europäischen Gerichtshofs beendet werden kann, treibt die EU-Kommission mit ihrem Vorschlag für einen European Health Data Space (EHDS) die ePA und das FDZ-Konzept seit dem Frühjahr 2022 in XXL und für alle Mitgliedsstaaten voran. Nutzer sollen in dem Europäischen Gesundheitsdatenraum zunächst vor allem persönliche Befunde, Arztberichte, Röntgenbilder, Rezepte oder Informationen über Vorsorgeuntersuchungen speichern können. Forscher, Erfinder, öffentliche Einrichtungen und die Pharmabranche erhalten dem Plan nach Zugang zu den gesammelten "großen Mengen an Gesundheitsdaten von hoher Qualität". Dies sei für "die Entwicklung von lebensrettenden Behandlungen, Impfstoffen oder Medizinprodukten von entscheidender Bedeutung".

Umstrittene Sekundärnutzung der Daten

Besonders umstritten am EHDS ist die vorgesehene kommerzielle "Sekundärnutzung" von Gesundheitsdaten, für die die Kommission eine breite Infrastruktur schaffen will. Sie soll den primären Einsatz der sensiblen Informationen durch Ärzte und Krankenhäuser ergänzen. Zugangsstellen in den Mitgliedsstaaten können dem Vorschlag nach die einschlägigen Daten von "Inhabern" wie Medizinern und Krankenkassen anfordern, speichern und berechtigten Dritten mit großem Ermessensraum zur Verfügung stellen, nachdem diese einen entsprechenden Antrag gestellt haben. Die Kommission gebe vor, dem Einzelnen mehr Kontrolle über die eigenen Daten zu geben, schreibt der Verein Patientenrechte und Datenschutz in einer Stellungnahme. Tatsächlich entziehe sie ihm aber das Recht, "über deren Verwendung zu entscheiden". Eine Beteiligung am Gewinn aus der Nutzung ihrer Gesundheitsdaten sei für die Betroffenen nicht vorgesehen. Sie würden nicht darüber informiert, wer ihre Informationen erhält, und erhielten kein Widerspruchsrecht.

Eine Option der Patienten, den Zugriff etwa eines Orthopäden auf die Aufzeichnungen der Psychotherapeutin zu verhindern, sei nicht enthalten, führt der Verein aus. Vielmehr sollen Bürger lediglich ihre gesamten Gesundheitsdaten für bestimmte einzelne Behandler komplett sperren können. In Notfällen dürften diese aber trotzdem darauf zugreifen. Auch die deutschen Privatpatienten würden nicht mehr "verschont": Die Krankenversicherungen müssten auch deren Abrechnungsdaten herausgeben. Die in Artikel 34 des Verordnungsentwurfs aufgeführten Zwecke für die Sekundärnutzung stellen kaum Hürden auf. Dazu gehören die Überwachung der öffentlichen Gesundheit, Forschung im Bereich des Gesundheits- und Pflegesektors genauso wie Entwicklungs- und Innovationstätigkeiten für Produkte und Dienste, die zur öffentlichen Gesundheit oder sozialen Sicherheit beitragen. Der Einsatz der Daten ist auch für Training, Erprobung und Bewertung von Algorithmen etwa in Medizinprodukten, KI-Systemen und digitalen Gesundheitsanwendungen zulässig, solange sie hohe Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung gewährleisten.

EHDS-Vorschlag mache Ärzte zu Komplizen

Angesichts dieser Bandbreite könnten Millionen Menschen von so einer Weitergabe ihrer Daten betroffen sein, geben die Verfechter von Patientenrechten zu bedenken. Grundsätzlich sollen die Informationen im Sekundärbereich zwar "in einem anonymisierten Format" herausgegeben werden. Kann ein Verarbeitungszweck damit aber nicht erreicht werden, reicht eine wenig Schutz bietende Pseudonymisierung. Generell sei eine Vermarktung der Gesundheitsdaten klar gewollt. Dabei dürfte die Kommission eigentlich nur deren EU-weite Normierung und ihren grenzüberschreitenden Austausch regeln, alles andere sei Sache der Mitgliedstaaten.

Es sei zwar sinnvoll, wenn ein Arzt im Ausland auf die Krankengeschichte eines Patienten aus einer Behandlung im Heimatland zugreifen könne, legt die Bürgerrechtsorganisation European Digital Rights (EDRi) den Finger in die gleiche Wunde. Die vorgesehene Sekundärnutzung könne jedoch "unglaublich gefährlich für das Privatleben und die medizinischen Daten von Millionen von Patienten" sein. Der EHDS-Vorschlag würde Ärzte und andere Angehörige medizinischer Berufe zu "Komplizen bei der erzwungenen Kommerzialisierung und Monetarisierung jedes Aspekts unserer Gesundheit machen, ohne dass wir jemals um unsere Zustimmung gebeten werden". Es sei kein Zufall, dass das sehr ähnliche DVG in Deutschland gerichtlich angefochten werde.